OSX Server - VPN Verbindungsprobleme

JonasL96

Erdapfel
Registriert
16.07.16
Beiträge
5
Hallo liebe Community,

ich versuche mir auf dem OS X Server eine VPN Verbindung für externe Netzwerke einzurichten.
Ich habe meinen Hostnamen auf VPN umgestellt: "'Servername'.private" und folgende Ports geöffnet:
UDP: 50, 1701, 4500 und TCP: 1732.

Ich wollte mich nun über die Netzwerkeinstellungen mit dem VPN Netzwerk verbinden. die Anmeldedaten von meinem Benutzer sind richtig und der Schlüssel ebenfalls.

Wenn ich aber auf Verbinden drücke, bekomme ich die Fehlermeldung, dass "der Server nicht erreicht werden kann".
Weiß jemand, woran das liegen kann? Ich finde im Internet keine hilfreichen Antworten auf die Frage.

Danke im Voraus!
Jonas
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Man muss für eine VPN-Verbindung weder seinen Hostnamen ändern, noch Ports öffnen. Vielleicht erklärst du uns erst mal, was du überhaupt tunneln willst - Client-Client, Client-Server, LAN-LAN...?!
 

JonasL96

Erdapfel
Registriert
16.07.16
Beiträge
5
Ich versuche eine Client-Server Verbindung herzustellen. Auf meinem Mac ist ein Server eingerichtet, den ich von meinem MacBook oder ein Freund von seinem Windows PC über eine VPN Verbindung erreichen will.
Ich habe noch keine Erfahrung mit VPN's und die Apple Anleitungen sind meiner Meinung nach nur mäßig hilfreich.
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Die Anleitungen von Apple sind nicht das Problem, sondern dass dir sämtliche Grundlagen bzgl. Netzwerktechnik- und Betrieb fehlen :)

Mit VPN "einzusteigen" ist da nicht sehr sinnvoll.

Die Kurzfassung - den Rest liest du dir bitte an:
  • Der VPN Zugang zu deinem LAN wird nicht am OS X Server eingerichtet, sondern an deinem Router
  • DDNS wird auf deinem Router eingerichtet, nicht auf dem OS X Server
  • Die Clients setzen eine VPN-Verbindung zur DDNS-Adresse deines Routers auf. Danach können sie auf den Server mittels dessen IP in deinem LAN zugreifen. Namensauflösung (also "hostname" statt IP) funktioniert so ohne weiteres nicht.
  • Geräte in deinem LAN sehen per VPN verbundene Geräte als Mitglieder deines LAN, inkl. lokaler IP.
  • Es müssen keine Ports weitergeleitet werden - das ist der Trick. Also alle wieder zu machen.
  • Der OS X Server "weiß" nicht, ob ein Gerät direkt oder via VPN verbunden ist, daher muß da auch nichts speziell konfiguriert werden. Insb. "Hostnamen" (FQDN) müssen so konfiguriert sein, dass sie zum LAN passen, sonst geht das lokal früher oder später Dank Apples kreativer mDNS-Implementation nach hinten los. Also rückgängig machen - dein OS X Server muß einen *.local oder *.<Domain-Name des Routers> FQDN haben, je nachdem, wie das in deinem LAN aufgesetzt ist (im Zweifel *.local, damit kann man nichts falsch machen).
Viel Erfolg.
 

JonasL96

Erdapfel
Registriert
16.07.16
Beiträge
5
VPN scheint doch schwerer zu sein als erwartet, aber das wird schon.
Danke für die Tipps! :)
 

Marcel Bresink

Hadelner Sommerprinz
Registriert
28.05.04
Beiträge
8.541
Einige Hinweise, die Du hier bekommen hast, sind falsch. Natürlich kannst Du auch mit OS X Server einen VPN-Server einrichten, falls Dein Router das nicht kann.

Die aktuellen Versionen von OS X Server bieten in Grundeinstellung die Konfiguration als Einwahlserver für 1 Client, in älteren Versionen war offiziell auch die Kopplung zweier Netzwerke ("Site-to-Site-VPN") möglich.

VPN ist keine Norm, sondern nur ein Oberbegriff für ein Sammelsurium verschiedener Protokolle, Authentifizierungsverfahren, Weiterleitungsverfahren und Verschlüsselungsverfahren. Die zu empfehlende Variante von VPN, für das was Du vorhast, ist "L2TP over IPSec" mit "Shared Secret", was in OS X Server mit ein paar Mausklicks aktiviert werden kann.

Für diese Variante musst Du im Router die folgenden Ports öffnen und auf den Server weiterleiten lassen:
  • das ESP-Protokoll
  • UDP-Port 500 (für ISAKMP-IKE)
  • UDP-Port 1701 (für L2TP)
  • UDP-Port 4500 (für IPSec NAT)
Damit der VPN-Server im Internet unter einem Namen gefunden werden kann, obwohl Du nur einen privaten Internet-Anschluss ohne fest angemietete IP-Adresse hast, musst Du zusätzlich einen dynamischen DNS-Dienst einrichten. Das geht bei DDNS-Anbietern, bei vielen Hosting-Providern und teilweise auch bei den Router-Herstellern, je nach dem, welchen Router Du hast. Dafür kann man zusätzliche Software auf dem Server installieren, aber wie gesagt kann das eventuell auch der Router ab Werk. Es ist richtig, dass hierbei nur die WAN-Adresse des Routers die maßgebliche ist, nicht die Adresse des Servers.
 

Scotch

Bittenfelder Apfel
Registriert
02.12.08
Beiträge
8.029
Und von dieser Variante ist dem TE unbedingt abzuraten. Bei nicht vorhandenen Netzwerkgrundlagen halte ich sämtliche Tips, die Löcher in den Paketfilter des Routers bohren für grob fahrlässig.